インターネット上にサーバーを公開すると、ローカル環境で使用していた時とは違い、たくさんの人がサーバーにアクセスできるようになります。大切なサーバーを守るためにセキュリティ対策は必ず実施するようにしましょう!!
色んな方のサイトの情報を基に調べたことをまとめておきます。ただし、ここにまとめた設定をすれば絶対にセキュリティを突破されない事を保障するものではありません。あくまで、自己責任でお願いします。
- 特権ユーザーに関する設定
- sshに関する設定
- サービスに関する設定
- ポートに関する設定
- ファイル改竄の検知
- アンチウィルス
- rootkit検出
今回は、7.rootkit検出についてです。セキュリティ設定も最終回です。
7.rootkit検出
悪意ある第3者に侵入された時に、その痕跡を消し、再度アクセスできるようにしたりするクラッカーが使うツールにrootkitというものがあります。このrootkitを検出してくれるツールを導入しておきます。
7.1.rootkit検出ツールインストール
rootkit検出ツールは、侵入した痕跡を消し、再度アクセスできるようにしたりするrootkitがインストールされていないかをチェックするツールです。
chkrootkitのインストール
yum -y install chkrootkit
7.2.rootkit検知ツール定期実行設定
rootkit検知ツールの定期実行スクリプトを作成し、定期実行されるように登録します。
vi chk_rootkit.sh
#!/bin/sh PATH=/usr/bin:/bin:/root/bin ROOTKIT_TMPLOG=`mktemp` # chkrootkit実行 chkrootkit > $ROOTKIT_TMPLOG # ログ出力 cat $ROOTKIT_TMPLOG | logger -t chkrootkit # rootkit検知時のみroot宛メール送信 [ ! -z "$(grep INFECTED $ROOTKIT_TMPLOG)" ] && \ grep INFECTED $ROOTKIT_TMPLOG | mail -s "chkrootkit report in `hostname`" root rm -f $ROOTKIT_TMPLOGrootkit検出ツール定期実行スクリプトに実行権限付与
chmod 700 chk_rootkit.sh
rootkit検出ツール定期実行スクリプトの定期実行登録
crontab -e
#毎日00:00にrootkitを実行する 00 00 * * * /root/chk_rootkit.sh
セキュリティ設定を最後まで読んで頂いてありがとうございます。折角最後まで読んで頂いたので、当たり前過ぎて忘れがちなログインユーザーのことについて書いておきます。
ただ、パスワード認証のままでは、辞書攻撃と呼ばれる攻撃を受ける可能性があるので、公開認証鍵方式の認証などへの切替えを検討したした方がより良いと思います。
- 作業用のユーザーを作成
- root権限が必要な場合は、sudoコマンドで実行
- 使わないユーザーをログイン不可に設定
- umaskを027に設定
1.作業用のユーザーを作成
rootユーザーは、システムに対する全ての権限を持っているので、何でも実施する事が出来ますので、一般ユーザー権限の作業用のユーザーを作成して、作業用ユーザーでログインするようにしましょう。
2.root権限が必要な場合は、sudoコマンドで実行
root権限が必要な場合でも、rootユーザーでログインして作業するのではなく、sudoコマンドで実行するようにしましょう。
3.使わないユーザーをログイン不可に設定
悪意ある第3者に使っていないユーザーを悪用され無いように、ログインが出来ないように設定しておきましょう。
chsh -s /bin/false nologinuser
cash -s /sbin/nologin nologinuser
4.umaskを027に設定
umaskは、新規に作成したファイルのパーミション(アクセス権限)をコントロールするために使われます。umaskを027に設定すると。その他ユーザーが新規に作成したディレクトリ、ファイルのread、exec権限がなくなるのでディレクトリに移動したり、参照したりする権限がなくなります。
全ユーザーに対して設定する場合
/etc/profileを変更
特定ユーザーに対して設定する場合
~/profileを変更
コメント